webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Services numériques
 

Les nouvelles exigences de la CNIL en matière de création et de gestion de mots de passe

Délibération n°2017-012 du 19 janvier 2017

Aux termes d’une recommandation relative à la sécurité des mots de passe, la CNIL fournit un référentiel technique de sécurité minimale à respecter. 

Le 19 janvier 2017, la CNIL a adopté une recommandation relative aux mots de passe [1].

Partant du constat que – pour répondre à leur obligation de sécurité – les responsables de traitement font majoritairement le choix de recourir à un moyen d’authentification associant un identifiant à un mot de passe, la Commission a estimé nécessaire de définir les modalités techniques de cette méthode d’authentification, permettant de garantir un niveau de sécurité adapté. En concertation avec ses homologues européens et des institutions et professionnels en charge de la sécurité de l’information, la CNIL a bâti un référentiel technique apportant un niveau de sécurité minimal afin de proposer aux professionnels des lignes directrices en matière de gestion des mots de passe.

 

1/- Les mesures à respecter pour la création des mots de passe !

Lorsque la sécurité des données à caractère personnel est assurée via la mise en place de mots de passe choisis et déterminés par les personnes concernées, la CNIL considère qu’il appartient au responsable de traitement d’imposer des modalités de création afin d’assurer la robustesse de ces derniers.

Cette robustesse se caractérise par la taille minimale et la complexité du mot de passe.

Dans une décision du 5 novembre 2015, la formation restreinte de la CNIL avait prononcé une sanction pécuniaire à l’encontre de la société OPTICAL CENTER, notamment en raison d’une absence de complexité suffisante des mots de passe des clients ayant déjà créé un compte, caractérisant ainsi un manquement à son obligation de sécurité.

Dans sa nouvelle recommandation relative aux mots de passe, la CNIL distingue 4 cas possibles et propose des modalités techniques à mettre en œuvre.

Elle identifie ainsi :

  1. Les cas où l’authentification repose uniquement sur un identifiant et un mot de passe. Ce cas impose les exigences les plus fortes en termes de robustesse des mots de passe ; ces derniers devant comporter au minimum 12 caractères et comprendre les 4 types de caractères existants (majuscules, minuscules, chiffres et caractères spéciaux). En plus d’imposer ces modalités de création aux personnes concernées, le responsable de traitement est également tenu de conseiller les personnes afin de répondre pleinement à son obligation de sécurité ;
     
  2. Les cas où l’authentification prévoit, outre le mot de passe, une restriction d’accès au compte de la personne concernée. Dans un tel scénario, la CNIL prévoit des exigences moins fortes puisqu’elle précise qu’un minimum de 8 caractères et l’usage de 3 des 4 types de caractères existants est suffisant à garantir la robustesse. Toutefois, outre l’imposition de ces critères de création, le responsable de traitement doit prévoir des mesures de blocage des tentatives multiples d’échecs ;
     
  3. Les cas où l’authentification au compte comprend un mot de passe ainsi qu’une information complémentaire. En telle hypothèse, la Commission considère que le mot de passe peut être composé d’uniquement 5 caractères sous réserve que l’information complémentaire réponde à des exigences de confidentialité et qu’une restriction de l’accès au compte soit mise en œuvre ;
     
  4. Les cas où l’authentification s’appuie sur un matériel détenu par la personne concernée (c’est par exemple le cas des cartes bancaires ou des téléphones mobiles). Dans un tel cas, la CNIL considère que le mot de passe peut contenir un minimum de 4 caractères sous réserve que le responsable de traitement prévoit un mécanisme de blocage au bout de 3 tentatives d’authentification échouées.

 

2/- Les modalités de conservation à respecter

La Commission rappelle dans sa recommandation sa position déjà bien établie selon laquelle les mots de passe ne doivent jamais être conservés en clair. La CNIL recommande qu’ils soient transformés au moyen d’une fonction cryptographique non réversible et sûre via l’utilisation d’un algorithme public réputé fort et dont la mise en œuvre logicielle est exempte de vulnérabilité connue.

Cette cryptographie doit, en outre, intégrer l’utilisation d’un sel ou d’une clé générés de manière aléatoires et qui ne doivent pas être stockés sur le même espace de stockage que l’élément de vérification du mot de passe.

 

3/- Le renouvellement du mot de passe et la notification de violation aux personnes concernées

La CNIL aborde, dans le cadre de sa recommandation, les modalités à prévoir pour le renouvellement des mots de passe. La commission distingue ainsi selon que ce renouvellement soit à l’initiative du responsable de traitement ou sur demande de la personne concernée.

A l’initiative du responsable,  la CNIL recommande que ce dernier impose, aux personnes concernées, un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, en leur permettant de procéder elles-mêmes au changement de leur mot de passe.

A la demande de la personne concernée, par exemple en cas d’oubli, la commission recommande que le responsable de traitement détermine une procédure de renouvellement du mot de passe.

Lorsque ce renouvellement nécessite l’intervention d’un administrateur, la procédure d’authentification doit imposer le changement du mot de passe attribué temporairement par l’administrateur dès la première connexion.

Lorsque le renouvellement est réalisé de manière automatique, alors le mot de passe ne doit pas être transmis en clair à la personne. D’ailleurs, la CNIL recommande que la personne concernée soit redirigée vers une interface, valide pendant une période maximale de 24 heures, lui permettant de saisir un nouveau mot de passe.

Lorsque le renouvellement fait intervenir un ou plusieurs éléments supplémentaires tels qu’un numéro de téléphone ou une adresse postale, la CNIL considère que ces éléments doivent être conservés dans un espace de stockage distinct de celui contenant l’élément de vérification du mot de passe sauf s’ils sont conservés sous forme chiffrée à l’aide d’un algorithme.

En tout état de cause, la commission recommande que le renouvellement du mot de passe soit systématique en cas de compromission de celui-ci et estime que, dans tous les cas, il ne doit jamais être communiqué à l’utilisateur en clair, notamment par courrier électronique.

Enfin, la CNIL recommande que le responsable de traitement notifie la personne concernée de toute violation de son mot de passe ou de données liées au renouvellement dans un délai n’excédant pas 72 heures depuis la constatation de la violation.

En cas de violation, la CNIL considère que le responsable de traitement doit imposer à la personne concernée de modifier son mot de passe au moment de sa prochaine connexion.

De plus, la Commission recommande qu’il lui conseille de changer ses mots de passe d’autres services dans l’hypothèse où elle aurait utilisé le même que celui ayant fait l’objet d’une violation.


[1] Délibération n°2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe (https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000033928007)  

VOIR AUSSI

Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?

Cass. com., 3 octobre 2018, n°17-21.395

- Vu : 2595

La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui s’étaient contentés de constater l’absence de négligence grave d’un client pour condamner la Banque à lui rembourser les sommes indûment prélevées sur son compte.

> Lire la suite

Hameçonnage : la négligence fautive des utilisateurs de plus en plus facilement admise

Cass. com., 6 juin 2018, n°16.29-065

- Vu : 553

La Cour de cassation a censuré l’arrêt de la Cour d’appel de Douai en date du 3 novembre 2016, qui avait condamné la banque à rembourser à sa cliente les sommes frauduleusement prélevées sur son compte, à la suite d’un mailing s’apparentant à une opération de phishing.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 3094
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 2661
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 2595
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1503
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©